SSLサーバ証明書に関するFAQ

 SSLサーバ証明書について
 SSLサーバ証明書の導入の流れに関するご質問
 SSLサーバ証明書導入後の設定や変更に関するご質問
 Secure Email証明書について
 CMS関連の導入や設定に関するご質問

SSLサーバ証明書について 

Q. 使用している暗号化方式は何ですか?

A. エントラストの全てのSSLサーバ証明書は、SSL(Secure Socket Layer)とTLS(Transport Layer Security)に対応しています。

Q. EVマルチドメイン証明書とは何ですか。

A. CAブラウザフォーラム(CABF)という業界標準団体で規定した、共通のルールに沿って身元確認を行ったうえで発行される、より信頼性の高い証明書です。主要ブラウザの特定のバージョン以上ではアドレスバーが緑色で表示されます。

Q. UCマルチドメイン証明書とは何ですか。

A.  Microsoft社のExchange ServerやCommunications Serverのサービスが稼働するサーバ間通信を暗号化するための証明書です。サブジェクト代替名(Subject Alternative Name : SAN)により、複数のサーバ間通信を暗号化できます。

Q. ワイルドカード証明書とは何ですか。

A. 一枚の証明書で複数のサーバとのSSL/TLS通信が行える証明書です。証明書の発行先の名称にワイルドカード(*:アスタリスク)が使われるため、このように呼ばれます。

Q. ワイルドカードはトップドメインを複数入れることはできますか?

A. できます。

Q. ワイルドカードは2段階のサブドメインを入れることはできますか?

A. できます。

Q. 承認担当者とは何ですか。また、その役割と資格は何ですか。

A. 承認担当者は、技術担当者になる方を承認する担当者となります。承認担当者は証明書の発行先のドメインを所有する組織に所属している必要があります。
技術担当者とは別の方をご指定いただく必要がございます(ただし従業員(構成員)10名以下の企業(組織)の場合は除く)。

Q. 技術担当者とは何ですか。また、その役割と資格は何ですか。

A.  技術担当者は、実際に証明書のダウンロードやWebサーバなどへの証明書の配置などの実作業を担当する方となります。技術担当者は必ずしもドメイン所有組織に所属している必要はなく、Webサーバの保守運営を担当されている社外の方でも構いません。
承認担当者とは別の方をご指定いただく必要がございます(ただし従業員(構成員)10名以下の企業(組織)の場合は除く)。

Q. 上級承認担当者とは何ですか。また、その役割と資格は何ですか。

A. EVマルチドメイン証明書を発行する際に必要です。上級承認者は承認担当者を承認していただく必要がございます。証明書の発行先のドメインを所有する組織に所属しており、かつManager職以上の役職に就任されている方に限ります。
承認担当者、技術担当者とは別の方をご指定いただく必要がございます。

Q. 中間証明書とは何ですか。また利用する意味は何ですか。

A. ルート認証局から認証局自身の証明書を発行してもらった認証局を中間認証局といいます。この中間認証局に発行された証明書を中間証明書といいます。一般にルート認証局同士の信頼パスを構築する際に利用されます。

Q. ライセンス数の考え方を教えてください。

A. FQDNの数=ライセンス数となります。ただし、Subject Alt Name (SAN) や、ワイルドカード証明書を利用することにより、証明書の枚数を削減することが可能となります。詳細は弊社へご相談下さい。問い合わせフォーム

Q. Advantage SSLの暗号化強度を教えてください。

A. 暗号化の強度ですが、弊社の証明書では128bitから256bitまでの暗号化通信を許容いたします。具体的な暗号化アルゴリズムは、SSLのネゴシエーション(シェイクハンド)の過程でWebサーバとWebブラウザ間で同意が取れたものが利用されます。したがいまして証明書によって利用される鍵長は制限されません。

Q.  CSR(証明書発行要求)とは何ですか。またどのように作るのでしょうか。

A. CSRは、証明書に記載する必要事項(サブジェクト名など)や公開鍵を記載したエンコードされたテキストファイルです。CSRの作成方法はWebサーバにより異なります。作成方法は以下のURL(英語)をご参照ください。 http://www.entrust.net/ssl-technical/webserver.cfm 

Q. CSRの作成は、誰が実施するのでしょうか。

A. 申請者側(Webサーバ上)で作成してください。CSR作成時に公開鍵とともに私有鍵も生成されますので、こちらを安全に保管できるようにしていただく必要がございます。

Q. 最長の有効期限は何年間ですか。

A. 最長は1年(397日)になります。

Q. お試し版の証明書はありますでしょうか。

A. はい、ございます。CMS(証明書管理ツール)をご用意させていただきます。製品版と同様の証明書になりますので認証も事前にお受けいただきます。

Q.  CPS (認証運用規定)はどこに記載されていますか。

A. こちら(URL:http://www.entrust.net/about/practices.cfm  )に各証明書の種類ごとのCPS(日本語)がございますので、ご購入前にご確認ください。

Q. Entrust SSL / TLS証明書はブラウザによってどのように信頼されますか?

A. Entrust SSL / TLS証明書は、ほとんどのブラウザーによって自動的かつ透過的に信頼されます。この信頼は、Entrustルート証明書がほとんどの主要なブラウザとルート証明書プログラムに組み込まれているために確立されます。

Q. Entrustはどのサイズのキーを使用しますか?

A. サーバーで作成される公開鍵は、サーバーソフトウェアによって異なりますが、2048ビット以上である必要があります。この公開鍵はEntrustデジタル証明書に含まれています。 Entrust SSL / TLS証明書の署名に使用されるEntrust秘密鍵は2048ビットです。

Q. Entrust SSL / TLS証明書はどのブラウザで動作しますか?

A. 私たちが発行するEntrustSSL / TLS証明書は、すべての主要なブラウザーで機能します。

Q. Entrust SSL / TLS証明書はどのサーバーで動作しますか?

A. Entrust証明書は、業界標準とRFCに準拠しており、証明書の要件を提供するサーバーベンダーです。

Q. Entrustチェーン証明書は必要ですか?

A. はい。有効日が2010年12月31日を超えるすべての証明書には、チェーン証明書が必要です。すべてのExtendedValidation証明書には、チェーン証明書が必要です。

Q. DVの取り扱いはありますか?

A. 弊社はEVとOVのみを取り扱っておりますベンダーになります。企業の実在性を示す認証を実施した証明書以外の販売は行っておりません。

Q. AdvantageSSLには追加でSANを利用できますか

A. 無償で付与されますベースドメインと他のドメインド含むFQDN1枚以外は追加することはできません。マルチドメイン証明書やワイルドカード証明書は有償で追加が可能です。

Q. ルート及び中間証明書の入手方法は?

A. 以下のサイトから Root 証明書だけでなく中間証明書も入手可能です。 https://www.entrustdatacard.com/pages/root-certificates-download

Q. EVとOVの証明書の違いとは

A. EV証明書は、詳細な在籍認証によりまして、OVよりも高い信頼性を持つことが可能でございます。
*EV証明書の認証は下記の通りです。OV証明書の場合は2,3、5のみ行います。
1.お客様によるCSR等の登録・申請をおこなっていただきます。
2.Entrust社にて企業情報をデータベースで確認いたします。
3.ドメインの所有者様に、そのドメインに対する証明書発行の了承をいただくメールを送付し、了承の旨のご対応をいただきます。(DNS TXTやWeb Server作成でも対応可)
4.お客様の人事部門に架電、上級担当者様の役職名を確認させて頂きます。
5.承認担当者様(管理者)へ架電の上、必要事項の確認を行います。
6.契約承認者様に架電の上、必要事項の確認を行います。(承認担当者様と契約承認者様が同一人物でも可)
7.上級担当者様に架電の上、必要事項の確認を行います。
*その他の、ドメイン認証、企業認証は同じ内容にて実施いたします。

Q. SSL証明書をクレジット決済で購入する方法はありますか?

A. 下記のリンクよりご購入頂くことができます。
*こちらは弊社USのサイトから直接ご購入いただくものです。
https://www.entrust.com/digital-security/certificate-solutions/products/digital-certificates/tls-ssl-certificates

Q. EV証明書の発行申請をする際に入力する各担当者のAuthorizationContact、HifherAuthority、ContractSigner、AccountAdministratorとは?

A. ・AuthorizationContact・・・発行承認担当者。
・HifherAuthority・・・発行承認担当者の上席の方となります。役職はManager以上
・ContractSigner・・・AuthorizationContactと同一人物で問題ございません。
・AccountAdministrator・・・実際にCSR等を入力して証明書を作成する担当者
*AuthorizationContact、ContractSigner、AccountAdministratorは同一人物で問題ございません。

Q. SSLサーバ証明書は、メールサーバの暗号化通信にも利用可能でしょうか

A. POP over SSL/TLS 及び SMTP over SSL/TLSで、サーバー証明書をお使い頂く事が可能です。通常、POP over SSL/TLSはポート995、SMTP over SSL/TLSはポート465を使用しますので メールクライアントとメールサーバーの両方に、上記のようなポートを使用して通信する設定が必要です。
また、S/MIMEをご希望の場合には、別なソリューションとなります。

SSLサーバ証明書の導入の流れに関するご質問 

Q. 認証(発行)手続きについて発行までのフローを教えてください。

A. おおよその流れは以下のとおりです。

  1. 弊社にご発注いただきます。
  2. 弊社に証明書を申請していただくWebサイトへのアクセスするためのコードを電子メールでご担当者様宛にお送りいたします。
  3. ご連絡先とCSR(証明書発行要求)をご用意ください。
  4. 入力いただきました情報をもとに弊社内でドメインの所有権や所有者の実在性確認などの審査を行います。
  5. 審査の最終段階としてお電話による口頭での確認を行わせていただきます。日本人スタッフによる日本語での確認となります。
  6. すべての審査が正しく終了しますと証明書が発行され、ダウンロードしていただくWebサイトのURLをご担当者様に電子メールでお送りいたします。
  7. 証明書をダウンロードしていただき、Webサーバ等にインストールしていただきます(お客様作業)。

※手順3の申請情報を入力してから5~10営業日程度お時間を頂いております(途中の作業状況に応じて変化致します)

Q. 現金振り込みによる決済は可能でしょうか。

A. はい、可能です 問い合わせフォームよりご依頼ください。問い合わせフォーム

Q. Webサイトへアクセスするためのコードは誰に送られるのでしょうか。

A. 基本的にはご注文いただきましたご担当者様となります。こちらに関してはお見積書からのご発注の際に調整可能ですので担当営業までご相談ください。

Q. ドメイン認証の有効期間は製品によってその適用期間はことなりますか

A. ドメイン認証は一回認証されますと、OVの場合は27か月、EVの場合は13か月有効となります。

Q. AWSのサービスにて利用を想定しており、証明書をACMへインポートした後に、Cloud Frontへ配置する方法は?

A. AWSをご利用になられます場合、通常のサーバーの手順と異なりまして、Root証明書のインストールは不要でございますが、中間証明書が必要となります。
インストールの際に、CA証明書+中間証明書を証明書チェーンにまとめる必要があります。
この取り扱い方法につきましては、下記のAWSのサイト”CloudFront で SSL/TLS の証明書を使用するための要件”をご参照願います。
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-intermediate-certificates

Q. EV証明書の在籍認証で、Higher Authorityへの確認の電話を日時指定する事は可能でしょうか?

A. 日本語での対応をご希望の場合には、弊社の日本の認証チームの業務時間内であればご相談いただくことが可能ですので、事前に弊社窓口へご相談下さい。

SSLサーバ証明書導入後の設定や変更に関するご質問 

Q. 一部の組み込みのブラウザで信頼パスが構築できません。

A. この事象のため、ルート証明書が更新されています。この事象が発生する場合は、以下のURLをご参照いただき、ルート証明書の更新を行ってください。Entrust CA (2048) ルート証明書の更新
https://japan.entrust.com/products/ecs/2048root/

Q. CMSの全権管理者(Super Administrator)を変更するにはどうしたらいいですか。

A.  弊社にお電話、またはメールでお問い合わせください。 問い合わせフォーム

Q. Microsoft Internet Explorerで「このWebサイトのセキュリティ証明書には問題があります」と表示されて通信できません。

A. Windows アップデートを行ってルート証明書を更新してください。なお、一部のルート証明書の更新は「カスタム」(Windows XP)や「オプション」(Windows 7)から選択しないと更新されませんのでご注意ください。

Q. 事業統合で社名が変わります。証明書の社名も変えたいのですがどうしたらいいですか。

A. 申し訳ございませんが異なる社名に変更する場合は、再度ご購入いただく必要があります。

Q. 証明書を失効したいのですが、どうしたらいいですか。

A. 以下のURLから失効手続きを行ってください。
https://www.entrust.net/customer/revoke_form.cfm

Q. 私有鍵(秘密鍵)をなくしてしまったのですが、どうしたらいいですか。

A. CSRを再作成し、CSRとともに再発行手続き(私有鍵の紛失)を弊社カスタマーサポート宛にご依頼ください。問い合わせフォーム

Q. 証明書の更新は、具体的にいつから受け付けているのでしょうか。

A. 証明書の有効期限が切れる1カ月前から手続きが可能になります。

Q. 証明書の更新期限は通知されますでしょうか。

A. 通知されます。証明書の有効期限の1か月前と10日前にご案内メールをお送りさせていただいております。

Q. 証明書の再発行に関する条件はあるのでしょうか。

A.  こちら(URL:https://www.entrust.com/get-support/ssl-certificate-support/ssl-certificate-replacement/ )に各証明書ごとのポリシー(英語)が記載しておりますのでご確認ください。

Q. 既存の証明書の有効期限が切れる前に更新手続きをした場合、更新した証明書の有効期間はいつから起算されますか?

A. 更新した証明書の有効期間は、既存の証明書の有効期限が切れた翌日から起算されます。(例えば、有効期限が切れる1か月前に1年の更新手続きをした場合、更新した証明書は1年1か月の間有効となります。)
ただし、証明書の有効期間はガイドラインにより上限が定められているため、398日を超える有効期間で発行することができません。
そのため、証明書更新時に残りの有効期間と更新期間の合計が上限を超える場合は、超えた分の有効期間が短くなります。

Q. 発行済の証明書にSANsを追加して再発行したい

A. CMSをお使いのお客様は、証明書発行後1ヵ月以内ですすと、CMS上でSNAsの追加、再発行のお手続きが可能です。
また、証明書発行着1ヵ月以上経過してしまった場合には、弊社のサポートにて対応致しますので、新しいCSRと証明書の情報を、弊社担当窓口へお知らせください。

Q. Webサイトに証明書を導入して、サービスを開始しましたが、特定のエンドユーザから次のような警告が出てくる。
=================================
証明書がありません
Chromeは証明書を要求しました。証明書を選択すると、今後、このアプリケーションがサーバからこのアイデンティティで認識されることを許可することとなります。
アプリケーションはリクエスト中のサーバをxxxxxxxxxx.jp:443と認識しました。このアプリケーションが信頼できる場合のみ証明書へのアクセスを付与してください。
=================================
エンドユーザ環境:galaxy note 9 / android 8 / chrome

A. Webサーバーへの証明書は正しくインストールされている前提で、証明書が相互認証が有効になっているWebサーバーにインストールされている可能性があります。
当該サイトにアクセスする端末は、認証用のクライアント証明書を提供するように求められます為、これらのモバイル端末の認証では使用できるクライアント証明書がないために、このエラーが発生しています。
相互認証が不要であれば、Webサーバー側の設定にて、この機能をオフにすることで、この問題を解消する事ができると思われます。

Secure Email証明書について 

Q. 通信には、双方ともEntrustのS/MIME証明書である必要はありますか?

A. いいえ、どちらもX.509証明書(パブリックまたはプライベートもしくは任意のベンダー)であれば十分です。
暗号化 — 双方ともX.509 S/MIME証明書を必要とします。
署名 — 署名者のみが証明書を必要とし、検証者は必要ありません。

Q. 暗号化する際、証明書はどのように交換しますか?

A. 証明書を管理する中央ディレクトリは存在しないため、暗号化を希望するユーザーは、手動で証明書を交換する必要があります。 これは通常、暗号化証明書を「収集」または収集する署名付きメールを受信者に送信することによって行われます。

Q. Entrustはこれら秘密鍵のバックアップを、どのように保護していますか?

A. 秘密鍵は、Entrustの安全な施設に保管され、顧客がご自身では用意不可能なセキュリティレベルによって保護されます。これは、私たちの公的な証明書ビジネスに利用するのものと同じレベルのセキュリティです。 物理的なセキュリティ(部屋へのアクセス)、論理的なセキュリティ(アクセスの二重管理)、ストレージのセキュリティ(CAキーで暗号化され、整合性が保たれている)を含め、CA鍵と同じレベルの保護が提供されています。Entrustの IT担当者がアクセスできるようなものではありません。

Q. 再発行された証明書は1年の有効期限を持ちますか?

A. いいえ、再発行は無料なので、元の証明書と同じ有効期限となります。 更新の場合のみに新しい期間が提供され、その結果、別のライセンス/在庫を使用します。

Q. MS Office文書の署名に、S/MIME証明書を使用できますか?

A. はい、可能です。

Q. このIDは否認防止を提供しますか?

A. 完全に自動化された鍵のバックアップを提供するため、Entrustでは、Entrustサーバーで秘密キーを生成し、それをP12形式でエンドユーザーに提供します。 これは二重使用の単一キーペアであるため、署名キーもクライアント側ではなくEntrustサーバーで生成されます。 これは否認防止を不能とするかもしれません。 貴社の法務チームにご相談されることをお勧めします。

Q. 個人のメールアカウントを使用して、会社が購入した証明書を取得できますか?

A. いいえ。安全なエンタープライズクラスのEメール証明書はクラスII証明書であるため、Entrustは組織とEメールドメインを検証します。 管理者は、証明書要求を承認または拒否することができます。 リクエストがEntrustによってアカウントで既に確認されているメールドメインと一致しない場合、証明書をリクエストすることはできません。 したがって、「hotmail」または「gmail」が組織が所有するドメインであることを確認できないため、これらのタイプのメールアドレスにS/MIME証明書を発行することはできません。 ただし、メールドメインは確認されないため、hotmailアカウントでS/MIME証明書を発行することはできます。

CMS関連の導入や設定に関するご質問 

Q. Super Adminは何名まで登録できますか。

A. デフォルトで2名まで登録が可能です。更に追加のご必要がございましたら有償にて対応させていただきます。

Q. CMS(Certificate Management Service)とは何ですか?

A. 自社で証明書を年間複数所有されている団体様向けに管理ポータルサイトとして利用いただいておりますサービスになります。利用されるドメインさえ事前に登録いただき認証され完了していれば購入されたライセンスを利用して証明書を即時で発行出来ます。

Q. CMS(Certificate Management Service)にはどんな特長がありますか?

A. 自社のドメインに紐づく証明書の発行のみならず、グループ会社の証明書のアカウントも追加して発行することが出来ます。また他社の証明書の管理も可能です。

Q. PoolingとNonPoolingの違いは何でしょうか。

A. Poolingは年単位で期間を購入して管理する方法で期間内に発行した証明書も残期間があればそれを他のFQDNの発行に再利用できます。NonPoolingは再利用の機能はないもののライセンスを購入いただいてから1年間に利用いただければそこから1年間有効な証明書が発行され、有効期限までは証明書は利用可能です。

Q. 複数年の契約は可能でしょうか。

A. Poolingであれば最長5年までの契約が可能になります。一方でお支払いは契約時に一括でお支払いいただきます。

Q. CMSで購入したインベントリの有効期間について

A. CMSで管理して頂く証明書の在庫(インベントリ)の有効期間は、ご購入頂いてから1年間でございますので、ご利用にならないままに期間が過ぎますと、無効となります。

Q. CMSのアカウントを作成の際、ドメイン、組織、スーパーAdminについて最大いくつまで無償で登録できますか

A. ドメインは10個、組織は10団体、スーパーAdminは2名までは無償で登録でき、それ以上は有償になります。

Q. CMSの契約は何年まで最長できますか

A. Poolingは5年、NonPoolingは1年単位になります、ただしPoolingの証明書も毎年証明書の更新作業は実施いただきます。

Q. CMSで他CAが発行した証明書の管理はできますか

A. CMSでは、外部証明書の情報を取り込んで、有効期限の管理をする事が可能です。
外部証明書を管理する為には、別途、”Foreign Cert Mgmt Licenses”が必要となります。

Q. CMSは、日本語表示に変更出来ますか?

A. 下記の方法で日本語表示に変更する事が出来ます。
Administrationメニュー > Advanced Settingを選択
Settings > Localizationを選択
Account language:* で Japaneseを選択 > Save
で、日本語に代わります。

Q. CMSの承認担当者、スーパー管理者の登録メールアドレスに入力ルールはありますか。

A. 承認担当者は個人アドレスで1個、スーパー管理者はグループでも個人でもOKで同じく1個のみ登録可能です。

Q. 各インベントリの使用目的について

A. 「Accout Administrators」: スーパー管理者或いはサブ管理者の追加権限。 1管理者追加毎に1インベントリが消費されます。
「Organizations」: 最初にCMSに登録されたクライアント(プライマリークライアント)の配下に、複数の「組織」を追加できます。1組織追加毎に1インベントリが消費されます。
この場合、プライマリークライアント配下に追加できる組織は、法的につながりのある組織(会社)に限ります。
プライマリークライアント下で、任意の組織を選択して証明書を発行する事が出来ます。
法的につながり無い会社(資本関係が無い等)の場合には、先般ご説明いたしました、別クライアントとして登録する必要があります。
*プライマリークライアント配下に、複数の組織を追加した場合、組織ごとに証明書のインベントリを割り当てる事はできません。
*プライマリークライアント配下に組織を追加する事のメリットは、新たにその組織の認証が不要である事です(ただしOVの場合のみ)

ご質問・ご相談 お気軽にお問い合わせください

電話でのお問い合わせ

03-6738-6710

(平日10:00~17:00受付)

メールフォームからお問い合わせ

お問い合わせ カタログダウンロード

ページの先頭へ